Pāriet uz galveno saturu
  • LAT
  • ENG
  • Sākums
  • Līgumu veidnes
  • GDPR dokumenti
  • APMĀCĪBAS
  • Pakalpojumi
  • Noderīgi
  • Kontakti

Vai AI sagatavots līgums ir drošs uzņēmumam?

28. apr. 2026, Nav komentāru
Vai AI aizstās juristus?

Pēdējos gados mākslīgais intelekts ir ienācis gandrīz visās nozarēs, un juridiskā joma nav izņēmums. Šodien ar AI palīdzību iespējams ātri sagatavot e-pastus, līgumu melnrakstus, iekšējo politiku uzmetumus, kopsavilkumus un pat juridisku jautājumu skaidrojumus. Tas ir radījis pavisam loģisku jautājumu: vai AI aizstās juristus?

Mūsu atbilde ir nē. Taču AI noteikti mainīs to, kā juristi strādā.

Tieši tur arī slēpjas būtiskā atšķirība. AI nav jurista aizstājējs tādā nozīmē, ka tas pārņem profesionālo atbildību, izvērtēšanu un gala lēmumu. Toties AI jau šobrīd ir spēcīgs instruments, kas palīdz ātrāk tikt līdz pirmajam melnrakstam un efektīvāk strādāt ar informāciju. Arī juridiskajā nozarē jaunākie nozares pārskati rāda, ka AI izmantošana pieaug ļoti strauji, taču vienlaikus pieaug arī uzsvars uz cilvēka uzraudzību, kritisko domāšanu un atbildīgu lietošanu.  

AI jau ir daļa no ikdienas darba.

Šobrīd vairs nav runa par to, vai AI ienāks juridiskajā darbā. Tas jau ir ienācis.
Juristi un uzņēmumi AI izmanto, lai ātrāk strukturētu informāciju, sagatavotu sākotnējos tekstus, pārskatītu lielu dokumentu apjomu, atrastu galvenos punktus un formulētu idejas. Tas var ietaupīt laiku un palīdzēt tikt uz priekšu ar uzdevumiem, kas iepriekš prasīja vairāk manuāla darba. Tajā pašā laikā profesionālo pakalpojumu nozarē tiek uzsvērts, ka AI ieviešana nav tikai produktivitātes jautājums — tā prasa arī pārskatāmus procesus, atbildības sadalījumu un kvalitatīvu cilvēka kontroli.  

Arī klientu uzvedība mainās. Amerikas Juristu asociācija ir norādījusi, ka klienti arvien biežāk izmanto AI rīkus vēl pirms sazināšanās ar juristu — lai saprastu problēmu, salīdzinātu speciālistus un novērtētu, kurš vispār šķiet uzticams. Tas nozīmē, ka AI ietekmē ne tikai dokumentu sagatavošanu, bet arī to, kā klienti meklē juridisko palīdzību.  

Tātad jautājums vairs nav “vai AI ir svarīgs?”, bet gan “kā to izmantot gudri un atbildīgi?”.

Kāpēc tas nenozīmē, ka juristi kļūst nevajadzīgi. 

Te sākas galvenais.

Juridiskajā darbā svarīgs nav tikai tas, vai teksts izklausās korekts. Svarīgi ir, vai tas konkrētajā situācijā ir piemērojams, pilnīgs, loģiski saderīgs ar pārējiem noteikumiem un vai tas nerada liekus riskus.

AI var uzrakstīt pārliecinoši. Dažreiz pat ļoti pārliecinoši. Taču pārliecinošs teksts vēl nav tas pats, kas drošs un juridiski precīzs dokuments.

Jurists savā darbā dara vairāk nekā “raksta tekstu”. Jurists izvērtē, ko tieši vajag noregulēt, kādas sekas radīs viena vai otra frāze, kur var rasties pretrunas, vai konkrētais risinājums ir piemērots Latvijas regulējumam un vai dokuments vispār darbosies praksē. Šo profesionālo spriestspēju AI neaizstāj. Tieši tāpēc arī juridiskajā vidē tiek uzsvērts, ka AI ir produktivitātes atbalsts, nevis juridiskā sprieduma vai profesionālās atbildības aizstājējs.  

Īsāk sakot: AI var palīdzēt uzrakstīt. Jurists palīdz panākt, lai uzrakstītais strādā dzīvē.

Ko AI dara labi.

Būsim godīgi — AI var būt ļoti noderīgs.

Tas labi palīdz, ja nepieciešams:
• ātri saprast tēmu;
• izveidot pirmo dokumenta struktūru;
• sagatavot melnrakstu;
• pārfrāzēt tekstu saprotamāk;
• apkopot lielu informācijas apjomu;
• iegūt idejas tam, kādu punktu vai sadaļu dokumentā vispār vajadzētu iekļaut.

Tas viss ir vērtīgi. Un tas ir viens no iemesliem, kāpēc AI tik strauji izplatās profesionālajos pakalpojumos. Tas palīdz ietaupīt laiku tur, kur nav jāsāk no baltas lapas.  

Arī satura ziņā AI var būt labs palīgs. Piemēram, uzņēmējs var ar AI palīdzību iegūt sākotnēju sapratni par to, kādi noteikumi līgumā parasti tiek iekļauti, kā izskatās konfidencialitātes klauzula vai ko aptuveni paredz sadarbības līgums. Tas var būt labs starts.

Taču starts vēl nav gala rezultāts.

Ko AI bieži nepamana


Te rodas lielākā problēma.

AI bieži nerada kļūdu tajā vietā, kur cilvēks kļūdu sagaida. Tas rada kļūdu tur, kur teksts izklausās pietiekami pārliecinošs, lai to nepārbaudītu.

Juridiskajos dokumentos tas var izpausties dažādi:
• tekstā ir pretrunas starp punktiem;
• kāda situācija nav noregulēta līdz galam;
• ir pārāk vispārīgs formulējums, kas strīda gadījumā maz ko palīdz;
• ir izmantoti termini, kas neatbilst konkrētajai jurisdikcijai;
• nav ņemtas vērā nozares nianses;
• nav sakārtots process, piemēram, saskaņošana, termiņi, pieņemšana vai atbildība;
• nav izvērtēts, vai konkrētais punkts vispār ir samērīgs un izpildāms praksē.

Tieši juridiskajā jomā tas ir īpaši svarīgi, jo labs dokuments nav vienkārši “teksts ar juridiskiem vārdiem”. Labs dokuments ir instruments, kas palīdz novērst neskaidrības un riskus.

Turklāt AI izmantošanai juridiskajā vidē arvien biežāk tiek pievērsta uzmanība arī no ētikas, regulējuma un risku pārvaldības perspektīvas. Juridiskās profesijas organizācijas uzsver, ka AI ieviešana prasa ne tikai tehnoloģisku interesi, bet arī profesionālu kritisko izvērtēšanu, drošības un atbildības mehānismus.  

Tāpēc AI radīts teksts bez pārskatīšanas nav tas pats, kas juridiski sagatavots dokuments.

Kāpēc uzņēmumiem joprojām ir vērts izmantot jurista sagatavotas vai pārskatītas veidnes


Šis ir punkts, kuru, manuprāt, daudzi uzņēmēji sāk saprast arvien skaidrāk.

AI var palīdzēt iegūt tekstu. Bet uzņēmumam parasti nevajag tikai tekstu. Uzņēmumam vajag dokumentu, kuru var droši izmantot praksē.

Tas nozīmē, ka dokumentam jābūt:
• loģiski sakārtotam;
• atbilstošam konkrētajai situācijai;
• piemērotam Latvijas tiesiskajai videi;
• saprotamam pusēm;
• pietiekami praktiskam ikdienas lietošanai.

Tieši tāpēc jurista sagatavotas vai jurista pārskatītas līgumu veidnes joprojām ir vērtīgas. Pat vairāk — laikā, kad teksta ģenerēšana ir kļuvusi viegla, kvalitatīva pārskatīšana kļūst vēl vērtīgāka.

Tas ir līdzīgi kā ar jebkuru citu profesionālu pakalpojumu. Rīks var palīdzēt strādāt ātrāk. Bet rīks neuzņemas profesionālo atbildību par rezultātu.

Ja uzņēmējs izmanto tikai AI ģenerētu līgumu, viņš bieži vien pats arī uzņemas risku, ka dokuments:
• neatrisinās praktisko problēmu;
• nepasargās no strīda;
• būs jālabo pēc tam, kad problēma jau radusies.

Savukārt jurista sagatavota veidne jau sākotnēji ir veidota ar domu par piemērojamību, riskiem un praktisku lietošanu.

AI laikmetā vērtība nav mazāka — tā kļūst citāda


Var šķist paradoksāli, bet AI laikmetā jurista darba vērtība nepazūd. Tā vienkārši kļūst redzamāka citā vietā.

Mazāk vērtīgs kļūst pats mehāniskais rakstīšanas process. Vērtīgāks kļūst:
• kas tieši dokumentā jāiekļauj;
• ko no tā labāk izņemt;
• kā to formulēt samērīgi;
• kā savienot juridisko korektumu ar praktisku lietojamību;
• kā novērtēt risku, nevis tikai uzrakstīt teikumu.

Tieši šeit ir jurista darba būtība.

Un tieši tāpēc, manuprāt, pareizais jautājums nav “vai AI aizstās juristus?”, bet gan:
kuri juristi pratīs izmantot AI gudri, nezaudējot profesionālo kvalitāti?

Secinājums


AI jau ir mainījis juridisko darbu, un tas turpinās to darīt. Tas palīdz ātrāk sagatavot melnrakstus, strukturēt informāciju un ietaupīt laiku. Taču AI neaizstāj juridisko spriestspēju, atbildību un praktisko izvērtējumu.

Tāpēc nē — AI neaizstās juristus.
Bet tas noteikti mainīs to, ko klienti sagaida no jurista.

Klients arvien mazāk meklēs cilvēku, kurš vienkārši “uzraksta tekstu”. Klients meklēs cilvēku, kurš spēj izvērtēt risku, pielāgot risinājumu konkrētajai situācijai un pateikt, vai dokumentu tiešām var droši izmantot.

Tieši tāpēc jurista sagatavotas un jurista pārskatītas līgumu veidnes joprojām ir nozīmīgas. Nevis par spīti AI, bet tieši AI laikmeta dēļ.

Jo AI var palīdzēt sākt.
Bet atbildība par gala rezultātu joprojām paliek cilvēka pusē.

Satura veidošanas līgums: svarīgākie punkti, ko uzņēmumi bieži aizmirst.

2. apr. 2026, Nav komentāru
Kad uzņēmums sadarbojas ar satura veidotāju, influenceri, fotogrāfu, video veidotāju, dizaineri vai citu radošo pakalpojumu sniedzēju, bieži vien uzmanība tiek pievērsta tikai cenai, termiņiem un gala rezultātam. Taču praksē tieši nesakārtoti līguma punkti vēlāk rada lielākos strīdus.

Īpaši tas attiecas uz situācijām, kad saturs tiek radīts uzņēmuma sociālajiem tīkliem, reklāmai, mājaslapai, e-komercijai vai citām komerciālām vajadzībām.

Labs satura veidošanas līgums nav tikai formalitāte. Tas palīdz skaidri saprast, ko katra puse dara, kam pieder izveidotais saturs, kā to drīkst izmantot un kas notiek, ja sadarbība neizdodas, kā plānots.

1. Ar darba uzdevumu vien nepietiek

Viens no biežākajiem riskiem ir pārāk vispārīgs sadarbības apraksts. Ja līgumā nav pietiekami skaidri noteikts, kāds saturs jāizveido, kādā apjomā, kādā formātā un kādiem mērķiem tas tiks izmantots, vēlāk rodas atšķirīgas interpretācijas.

Tāpēc līgumā vai pielikumā ir vērts precīzi noteikt:
• satura veidu,
• apjomu,
• tehniskās prasības,
• nodošanas termiņus,
• labojumu kārtību,
• izmantošanas mērķi.

Jo skaidrāks darba uzdevums, jo mazāks risks strīdēties par to, kas vispār bija jāizdara.

2. Autortiesību punkts ir viens no svarīgākajiem visā līgumā

Daudzi uzņēmumi kļūdaini pieņem, ka, samaksājot par darbu, viņi automātiski iegūst pilnas tiesības ar to rīkoties pēc saviem ieskatiem. Praksē tas ne vienmēr ir tik vienkārši.

Līgumā būtu skaidri jānoregulē, vai:
• mantiskās autortiesības tiek nodotas pasūtītājam, vai
• pasūtītājs saņem tikai licenci izmantot saturu noteiktā apjomā.

Šis punkts ir īpaši svarīgs, ja uzņēmums vēlas saturu:
• izmantot ilgtermiņā,
• pārveidot,
• adaptēt dažādiem kanāliem,
• nodot lietošanai aģentūrai vai sadarbības partneriem,
• izmantot reklāmā vai atkārtotās kampaņās.

Ja tas nav sakārtots pietiekami skaidri, vēlāk var rasties strīdi par to, ko uzņēmums vispār drīkst darīt ar pasūtīto saturu.

3. Klienta darbu publiskošana ir jāparedz skaidri

Daudzi par šo punktu neaizdomājas līdz brīdim, kad izpildītājs publiski parāda klientam radītos darbus savā portfolio, sociālajos tīklos vai prezentācijās.

Dažreiz tas ir pilnīgi pieņemami. Taču citreiz tas var būt nevēlami, piemēram:
• ja kampaņa vēl nav publiskota,
• ja saturs satur komerciāli jutīgu informāciju,
• ja uzņēmums nevēlas šādu publisku asociāciju,
• ja darbs radīts iekšējai lietošanai vai testēšanai.

Tāpēc līgumā ir vērts skaidri noteikt, vai izpildītājs drīkst izmantot darbus savā portfolio, un, ja drīkst, tad kad un kādā apjomā.

4. AI rīku izmantošana ir jāparedz skaidri

Šobrīd tas kļūst arvien aktuālāk. Satura radīšanā var tikt izmantoti dažādi mākslīgā intelekta rīki, taču bez skaidriem noteikumiem tas rada vairākus riskus.

Uzņēmumam var būt svarīgi zināt:
• vai AI vispār drīkst izmantot;
• kādā apjomā tas drīkst tikt izmantots;
• vai izpildītājam ir pienākums atklāt, kuri elementi radīti vai būtiski pārveidoti ar AI palīdzību;
• vai klienta konfidenciāla informācija, personas dati vai nepublicēti materiāli netiek ievadīti trešo personu rīkos.

Labs AI punkts līgumā palīdz samazināt gan autortiesību, gan datu aizsardzības, gan konfidencialitātes riskus.

5. Nepietiek tikai ar frāzi “darbs tiks nodots”

Svarīgi ir noregulēt arī pieņemšanas kārtību:
• cik ātri pasūtītājs izskata saturu,
• cik labojumi ietilpst cenā,
• kas notiek, ja komentāri netiek sniegti laikā,
• kā tiek fiksēta darba nodošana un pieņemšana.

Šie šķiet praktiski sīkumi, bet tieši tie bieži kļūst par strīda punktiem. Skaidra pieņemšanas kārtība palīdz izvairīties no situācijām, kur viena puse uzskata darbu par pabeigtu, bet otra — nē.

6. Svarīgi paredzēt, kas notiek, ja sadarbība jāpārtrauc

Ne katra sadarbība beidzas ideāli. Tāpēc līgumā ir vērts iepriekš paredzēt:
• kad līgumu var izbeigt,
• cik laicīgi par to jāpaziņo,
• par ko ir jāsamaksā,
• kas notiek ar jau izveidoto darba daļu,
• vai jānodod starprezultāti un materiāli.

Šis punkts ir īpaši svarīgs ilgākās sadarbībās vai projektos, kas tiek veidoti pa posmiem.

7. Konfidencialitāte un know-how aizsardzība var būt tikpat svarīga kā pats saturs

Ja satura veidošanas laikā izpildītājs uzzina par uzņēmuma plāniem, kampaņām, mērķauditoriju, budžetiem, pozicionējumu vai citām nepubliskām detaļām, ar vispārīgu sadarbības aprakstu vien var nepietikt.

Daudzos gadījumos ir vērts paredzēt:
• konfidencialitātes pienākumu,
• nepublicēta satura aizsardzību,
• aizliegumu izmantot klienta know-how citu klientu interesēs,
• interešu konflikta novēršanas noteikumus.

Tas ir īpaši aktuāli, ja saturs tiek veidots konkurences tirgū vai radošais pakalpojuma sniedzējs vienlaikus strādā ar vairākiem zīmoliem.

8. Personas datu punkts nav vajadzīgs tikai “lieliem uzņēmumiem”

Ja sadarbības laikā notiek personas datu apstrāde, arī šis jautājums var kļūt būtisks. Ne katrā projektā būs vajadzīgs atsevišķs datu apstrādes līgums, bet līgumā vismaz jāparedz, ka datu apstrādes jautājumi nepieciešamības gadījumā tiks noregulēti atbilstoši konkrētajai situācijai.

Tas ir īpaši svarīgi, ja darbā tiek izmantoti klientu dati, darbinieku dati, filmēšanas materiāli ar identificējamām personām vai cita informācija, kas satur personas datus.

Noslēgumā


Satura veidošanas līgums nav tikai par satura nodošanu un samaksu. Praksē tas ir instruments, kas palīdz sakārtot gaidas, samazināt riskus un izvairīties no nepatīkamām situācijām vēlāk.

Jo īpaši ir vērts pievērst uzmanību šiem punktiem:
• autortiesībām,
• portfolio izmantošanai,
• AI rīku izmantošanai,
• darba nodošanas un pieņemšanas kārtībai,
• līguma izbeigšanai,
• konfidencialitātei,
• personas datu apstrādei.

Ja šie jautājumi tiek sakārtoti jau sākumā, sadarbība parasti norit daudz mierīgāk un prognozējamāk.

Noderīgs dokuments:

        

Praktisks līguma paraugs sadarbībai ar satura veidotājiem, influenceriem, fotogrāfiem, dizaineriem un citiem radošo pakalpojumu sniedzējiem.


7 iemesli kāpēc personas datu aizsardzības ieviešanu nedrīkst atlikt.

14. jūn. 2021, Nav komentāru

Papildus visiem vispārzināmajiem un ievērojamajiem sodiem, kurus nosaka Vispārīgā datu aizsardzības regula un kuri var kļūt letāli mazajiem un vidējiem uzņēmumiem (MVU), pastāv arī citi riska faktori, par kuriem daudzi MVU pat neaizdomājas:

1. Reputācijas risks - uzliktie sodi un publiskā informācija par uzņēmuma datu aizsardzības pārkāpumiem noteikti ietekmēs uzņēmuma reputāciju un sagādās izdevumus.

2. Peļņas kritums - arvien vairāk potenciālo klientu un partneru izvēlās sadarboties un uzticēt savus datus tikai tādiem uzņēmumiem, kas spēj tos pilnvērtīgi aizsargāt.

3. Daudzi personas datu nozaudēšanas vai izpaušanas gadījumi notiek aiz viena uzņēmuma darbinieka neuzmanības un nezināšanas, par ko atbildību nesīs pats uzņēmums.

4. Piegādes ķēdes risks - mazie un vidējie uzņēmumi ir viegls kibernoziegumu upuris un līdz ar to iespējamais piekļuves punkts lielāku uzņēmumu IT sistēmām.

5. Darbības apturēšana - katras valsts uzraudzības iestādei ir pilnvaras uzlikt pagaidu vai galīgu datu apstrādes ierobežojumu vai pat aizliegumu, kas dažiem uzņēmumiem nozīmēs pilnīgu darbības apstāšanos.

6. Ievērojami palielinājies sūdzību skaits - datu subjekti arvien biežāk vēršas ES datu aizsardzību uzraugošajās iestādēs, lai konsultētos par GDPR un iesniegtu sūdzības par uzņēmumiem, kas neievēro viņu tiesības. Kopumā, kopš 2018.gada maija, iesniegtas jau 144 376 sūdzības.

7. 43% no kiberuzbrukumiem ir vērsti uz mazajiem un vidējiem uzņēmumiem; 60 % mazo uzņēmumu pārtrauc darbību 6 mēnešu laikā pēc kiberuzbrukuma.

Saskaņā ar Eiropas komisijas veikto statistiku, datu subjekti arvien biežāk vēršas ES datu aizsardzību uzraugošajās iestādēs, lai konsultētos par GDPR un iesniegtu sūdzības par uzņēmumiem, kas neievēro viņu tiesības. Kopumā, kopš 2018.gada maija, iesniegtas jau vairāk kā 200 000 sūdzības.

Latvijā Datu valsts inspekcija 2021.gada pirmajos četros mēnešos ir saņēmusi 436 sūdzības par iespējams prettiesisku personas datu apstrādi, no tām 20% ir par personas datu apstrādi sociālās tīklošanas vietnēs un interneta vietņu platformās, ar lūgumu palīdzēt dzēst datus (publicēto informāciju), par situācijām, kur kāds publicējis fotogrāfijas, videoierakstu vai citu informāciju, kas ļauj identificēt indivīdu, bez šīs personas piekrišanas vai cita likumīga pamata.


Datu apstrādes reģistrs - kā to veidot un kāpēc?

2. apr. 2021, Nav komentāru

Vispārīgās datu aizsardzības regulas (Regula) 30.pants nosaka, ka katram pārzinim vai tā pārstāvim ir jāreģistrē tā pakļautībā veiktās datu apstrādes darbības. Bieži vien praksē šo iekšējās kontroles rīku sauc par datu apstrādes reģistru. Minētajā reģistrā ietver visu šādu informāciju:

-      pārziņa un attiecīgā gadījumā visu kopīgo pārziņu, pārziņa pārstāvja un datu aizsardzības speciālista, vārds un uzvārds vai nosaukums un kontaktinformācija;

-      datu apstrādes nolūki;

-      datu subjektu kategoriju un personas datu kategoriju apraksts;

-      datu saņēmēju kategorijas, kuriem personas dati ir izpausti vai kuriem tos izpaudīs, tostarp saņēmēji trešās valstīs vai starptautiskās organizācijas;

-      attiecīgā gadījumā, informācija par personas datu nosūtīšanu uz trešo valsti vai starptautisku organizāciju, tostarp šīs trešās valsts vai starptautiskās organizācijas identifikācija, un, ja nepieciešams, atbilstošo garantiju dokumentācija;

Nav obligāti, bet, ja ir iespējams:

-      paredzētie termiņi dažādu kategoriju datu dzēšanai;

-      tehnisko un organizatorisko drošības pasākumu vispārējs apraksts.

Pienākums reģistrēt visu minēto informāciju ir paredzēts, lai vajadzības gadījumā uzraudzības iestādēm būtu iespēja pārbaudīt kādas konkrētās vai visu datu apstrādes likumību, ieskaitot datu apstrādes juridiskos pamatus, apstrādes termiņu savietojamību ar tās nolūkiem, kā arī pārējos datu apstrādes noteicošus elementus.

Pienākums izveidot un uzturēt datu apstrādes reģistru attiecas uz dažādu kategoriju pārziņiem: privātpersonām, privātiem un publiskiem uzņēmumiem, iestādēm, un citām personām, kas apstrādā datu subjektu personas datus. Kā arī ne tikai uz pārziņiem, bet arī uz apstrādātājiem.

Regulas 30(2).pants nosaka, ka katrs apstrādātājs un attiecīgā gadījumā apstrādātāja pārstāvis uztur visu pārziņa vārdā veikto apstrādes darbību kategoriju reģistru, ietverot šādu informāciju:

-          apstrādātāja vai apstrādātāju vārdi, uzvārdi vai nosaukumi un kontaktinformācija un katra tā pārziņa vārds, uzvārds vai nosaukums, kontaktinformācija, kura vārdā apstrādātājs darbojas, un attiecīgā gadījumā pārziņa vai apstrādātāja pārstāvja un datu aizsardzības speciālista vārds, uzvārds un kontaktinformācija;

-          katra pārziņa vārdā veiktās apstrādes kategorijas;

-          attiecīgā gadījumā, informācija par personas datu nosūtīšanu uz trešo valsti vai starptautisku organizāciju, tostarp šīs trešās valsts vai starptautiskās organizācijas identifikācija, un nepieciešamības gadījumā – atbilstošo garantiju dokumentācija;

Nav obligāti, bet, ja ir iespējams:

-      tehnisko un organizatorisko drošības pasākumu vispārējs apraksts.

Atkāpe no pienākuma

Toties, ievērojot mikro, mazo un vidējo uzņēmumu īpašo situāciju, Regula paredz arī atkāpi - pienākums uzturēt datu apstrādes reģistru neattieksies nedz uz pārzini, nedz uz apstrādātāju, kuri nodarbina mazāk nekā 250 personas, izņemot, ja (i) uzņēmuma vai struktūras veiktā apstrāde varētu radīt risku datu subjektu tiesībām un brīvībām, (ii) apstrāde nav neregulāra vai (iii) apstrāde ietver īpašu kategoriju datu un personas datus par sodāmību un pārkāpumiem.

Tātad, ja uzņēmums ir uzskatāms par mikrouzņēmumu ar nelielu apgrozījumu un darbinieku skaitu, taču primārā darbības veidā ietvaros regulāri apstrādā lielu personas datu apjomu, šis izņēmums uz tādu uzņēmumu neattieksies.

Par datiem, kuru apstrādi var novērtēt kā tādu, kas varētu radīt risku datu subjektu tiesībām un brīvībām, var uzskatīt datu subjekta intelektuālā īpašuma tiesības, videonovērošanu, ģeolokāciju datus, u.c.

No kā sākt

Labs veids, kā sākt, ir veikt uzņēmuma datu auditu vai datu kartēšanu (data mapping), kas palīdzēs  noskaidrot, kādi personas dati ir uzņēmuma rīcībā, kur tie glabājas, ar kādu mērķi tiek apstrādāti un kam ir piešķirtas piekļuves tiesības.

Veicot tādu auditu patstāvīgi, ieteicams vispirms sākt ar personas datu kategoriju un to glabāšanas vietas noskaidrošanu. Ja uzņēmums pamatā pilda personas datu pārziņa lomu, tad sāciet auditu vai kartēšanu, sadalot uzņēmuma darbību pēc funkcijām (personāla vadība, mārketings, pārdošana, u.tml.). Ja uzņēmumam lielākoties ir datu apstrādātāja pienākumi, tad sāciet ar pārziņu apzināšanu un viņiem piederošiem personas datiem.

Tad, kad pamata informācija ir iegūta, var sākt aptaujāt nodaļas vai darbiniekus, kuru amata pienākumi vai uzdevumi ietver konstatēto datu apstrādi. Veikt aptaujas palīdzēs izstrādātas anketas, kurās nepieciešams paredzēt jautājumus par personas datu apstrādes nolūkiem, regularitāti, datu saņēmējiem, datu veidiem un datu subjektu kategorijām, u.c.

Pārbaudiet vai uzņēmumam ir izstrādātas iekšējās politikas un vadlīnijas – tie var saturēt papildus informāciju par uzņēmumā notiekošo datu apstrādi. Daudz informācijas var iegūt arī no pakalpojumu līgumiem, kuri ir noslēgti starp uzņēmumu un trešajām personām.

Ērtākais veids, kā sākt veidot ierakstus datu apstrādes reģistrā ir uzsākt darbu ar datiem, par kuru apstrādi jūsu rīcībā ir visvairāk informācijas.

Visbeidzot, ir jāatceras, ka personas datu apstrādes reģistrs nav vienreizējs dokuments. Reģistrs ir obligāti jāpārskata un jāpapildina katru reizi, kad uzņēmums sāk apstrādāt jaunus datus, izmantot esošus datus citos nolūkos, pagarina datu apstrādes termiņu vai padara datus pieejamus citām personām.

Regula nenosaka kuram darbiniekam būtu jānosaka pienākums izveidot un uzturēt reģistru. Taču, lai reģistra vešana būtu sekmīga, ir iesakāms noteikt atbildīgo personu, kura pārzinās reģistrā ietvertos datus un veicinās uzņēmuma kopējo atbilstību un spēju reaģēt uz likuma izmaiņām, pieprasījumiem un sūdzībām. Uzņēmumos, uz kuriem attiecas pienākums iecelt datu aizsardzības speciālistu, šo funkciju visbiežāk pildīs pieaicinātais speciālists.

Autors: Marina Briškena, eGDPR

Datu apstrādes reģistra paraugs




Datu drošība e-komercijā

5. marts 2021, Nav komentāru

Šodien visus uzņēmumus var uzskatīt par datu uzņēmumiem. Preču un pakalpojumu elektroniskās tirdzniecības veikali, jeb e-komercija (“e-veikals”) neizbēgami vāc, glabā un apstrādā indivīdu personas datus, kas nozīmē to, ka e-veikaliem ir obligāti jāievēro Vispārīgās datu aizsardzības regulas (“regula”) prasības.

E-veikali parasti apstrādā lielu personas datu apjomu un tas ir viens no iemesliem kāpēc 29.panta darba grupa (“WP29”), kuru līdz ar regulas stāšanās spēkā aizstāja Eiropas datu aizsardzības padome (EDPB), uzskatīja, ka e-komercija ir viens no sektoriem, kas rada vislielākos datu aizsardzības un privātuma riskus Eiropas savienības (“ES”) pilsoņiem.

ATBILSTĪBAS NODROŠINĀŠANA

Pats būtiskākais solis ceļā uz datu aizsardzības likumu prasību ievērošanu ir pastāvīga informētība par to, kādi personas dati ir jūsu uzņēmumā, kāpēc jūs tos vācat, kur tie tiek glabāti un kam tiek sūtīti.

Jums jāpārbauda visas datu vākšanas un apstrādes darbības, ko veicat e-veikala darbības ietvaros. Ir pilnīgi iespējams, ka tādas pārbaudes rezultātā tiks identificētas apstrādes darbības, kuras jūs vairs neveicat, un personas dati, kuri jums vairs nav nepieciešami. Pat ja jūsu e-veikals ir tikai starpnieks personas datu nodošanas procesā, jums ir pienākums apzināt šos datus un nodrošināt to aizsardzību.

Atcerieties, ka atbilstības ieviešana un uzturēšana e-veikalā nav vienreizējs uzdevums: atbilstības prasības ir jāiekļauj katrā jaunajā datu apstrādes procesā.

Regula pieprasa veikt saprātīgu darbību apjomu, lai izvairītos no datu pārkāpumiem, kā arī jau iepriekš tiem sagatavoties. Jums vajadzētu pārbaudīt savas tehniskās sistēmas, kā arī ar cilvēkiem saistītos procesus, lai identificētu faktorus, kas potenciāli varētu izraisīt datu drošības pārkāpumus.

PIRCĒJU TIESĪBAS

Tiesības saņemt informāciju

E-veikaliem ir jānodrošina, lai pircēji, viņu personas datu iegūšanas brīdī vai pirms tam, būtu informēti par to, ka e-veikals vāc, izmanto, aplūko vai citādi apstrādā viņu personas datus. Regula nosaka, ka informācijai un saziņai, kas saistīta ar minēto personas datu apstrādi, ir jābūt viegli pieejamai un viegli saprotamai, kā arī ir jāizmanto skaidra un vienkārša valoda. Turklāt, regula nosaka arī minimālo informācijas apjomu, kuru e-veikalam būtu jāziņo pircējiem. Šādu informāciju var sniegt elektroniski, piemēram, publicējot to e-veikala vietnē.

Obligāts informācijas sniegšanas priekšnosacījums - e-veikalam ir jāziņo pircējiem plānoto datu apstrādes informāciju pirms šo personas datu iegūšanas. Minētais ir nepieciešams, lai katrs pircējs spētu realizēt savas privātuma tiesības un izlemt par datu nodošanu e-veikalam, izvērtējot e-veikala sniegto informāciju. Par pareizo praksi informācijas sniegšanā tiešsaistē tiek uzskatīta personas datu apstrādes noteikumu paziņošana pircēju reģistrācijas procesa pirmajā solī, pirms pircējs tiek lūgts sniegt savus datus. Ja e-veikals neparedz pircēju reģistrāciju, iepazīšanos ar minētiem noteikumiem ir jānodrošina cita procesa ietvaros, piemērām, pirkuma noformēšanas brīdī.

Tiesības piekļūt saviem datiem

Pircējam ir tiesības pieprasīt informāciju vai attiecībā uz viņu tiek vai netiek apstrādāti personas dati, un, ja tiek, tad saņemt informāciju par to, kādus datus apstrādā e-veikals, uz kāda juridiskā pamata tos apstrādā, kā arī citu informāciju, kas skar šādu datu apstrādi. Regula nosaka, ka e-veikalam ir pienākums atbildēt uz datu subjekta pieprasījumiem bez nepamatotas kavēšanās un vēlākais viena mēneša laikā un minēt iemeslus, ja e-veikals neplāno izpildīt nevienu šādu pieprasījumu. Nepieciešamības gadījumā šo termiņu var pagarināt vēl uz diviem mēnešiem, ņemot vērā pieprasījumu sarežģītību un skaitu. E-veikalam būtu jānodrošina arī līdzekļi, ar kuriem pieprasījumus var izdarīt elektroniski, īpaši gadījumos, kad personas datus apstrādā, izmantojot elektroniskus līdzekļus.

Svarīgi atcerēties, ka pat tad, kad e-veikals neveic pieprasījumā minēto datu apstrādi, vai neapstrādā datus, kas tajā minēti, šo apstākli nevar uzskatīt par pamatu atbildes nesniegšanai uz pircēja pieprasījumu. Atbilde uz pieprasījumu ir jāsniedz vienmēr un tā ignorēšana ir uzskatāma par datu aizsardzības likumu normu pārkāpumu, par ko pircējs var iesniegt sūdzību uzraugošajā iestādē vai tiesā. Ja e-veikals izmanto savas tiesības atteikt sniegt informāciju, tam ir pienākums uzskatāmi parādīt, ka pieprasījums ir acīmredzami nepamatots vai pārmērīgs.

Fizisko personu datu aizsardzības likums, kas zaudējis spēku ar Fizisko personu datu apstrādes likuma spēkā stāšanās brīdi, paredzēja ierobežojumu datu subjektam bez maksas saņemt rakstveidā pieprasīto informāciju vai pamatotu rakstveida atteikumu ne biežāk kā divas reizes gadā. Taču Fizisko personu datu apstrādes likums to vairs neparedz. Tā vietā, e-veikalam ir jāvadās no regulā ietvertām tiesībām lūgt pircēju maksāt par sniegto informāciju saprātīgu samaksu, kas balstīta uz administratīvām izmaksām, ja pircēja atkārtotie pieprasījumi rada e-veikalam administratīvos izdevumus.

Tiesības labot datus un tiesības “tikt aizmirstam”

Pircējiem ir tiesības panākt, lai e-veikals bez nepamatotas kavēšanās labotu neprecīzus pircēja personas datus, kā arī tiesības uz savu personas datu dzēšanu un apstrādes neturpināšanu, ja (i) personas dati vairs nav nepieciešami saistībā ar nolūkiem, kādos tie vākti; (ii) pircējs ir atsaucis savu piekrišanu apstrādei vai (iii) iebilst pret savu personas datu apstrādi, kas balstīta uz e-veikala leģitīmajām interesēm vai sabiedrības interesēm un apstrādi, kuru realizē tiešās tirgvedības nolūkos; vai (iv) personas dati ir apstrādāti nelikumīgi; vai (v) personas dati ir jādzēš, lai nodrošinātu, ka tiek pildīts e-veikala juridisks pienākums.

Turklāt, ir jāatceras, ka e-veikalam ir pienākums informēt sadarbības partnerus, kuri sniedz pakalpojumus, kas ietver pircēju personas datu apstrādi, par to, ka pircējs ir īstenojis savas tiesības labot datus vai tos dzēst.

Tiesības ierobežot apstrādi

Regulas 18.pants piešķīra datu subjektiem tiesības īslaicīgi ierobežot savu personas datu apstrādi un tāpēc e-veikala pircēji var iesniegt pieprasījumu ierobežot viņu datu apstrādi ja ir viens no šādiem apstākļiem: (i) pircējs apstrīd personas datu precizitāti – uz laiku, kurā e-veikals var pārbaudīt personas datu precizitāti; (ii) apstrāde ir nelikumīga, un pircējs iebilst pret personas datu dzēšanu un tās vietā pieprasa datu izmantošanas ierobežošanu; (iii) e-veikalam personas dati apstrādei vairs nav vajadzīgi, taču tie ir nepieciešami pircējam, lai celtu, īstenotu vai aizstāvētu likumīgas prasības; (iv) pircējs ir iebildis pret apstrādi, kas pamatojas uz e-veikala leģitīmajām interesēm, vai kura tiek veikta sabiedrības interesēs – uz laiku, kamēr nav pārbaudīts, vai e-veikala leģitīmie iemesli nav svarīgāki par pircēja leģitīmajiem iemesliem.

Tiesības iebilst pret apstrādi

Tiesības iebilst tiek piemērotas tādai personas datu apstrādei, kuru pārzinis veic, lai izpildītu uzdevumu, ko veic sabiedrības interesēs vai īstenojot pārzinim piešķirtas oficiālas pilnvaras, vai pamatojoties uz savām vai trešās personas leģitīmajām interesēm.

Visbiežāk leģitīmās intereses kalpo par pamatu e-veikala pircēju datu apstrādei mārketinga vajadzībām, un, ja pircējs iebilst pret šādu viņu datu apstrādi, minētā apstrāde ir jāaptur.

Atbilstoši regulā noteiktajam, e-veikala leģitīmās intereses var būt apstrādes juridiskais pamats tikai tad, ja pircēju intereses vai pamattiesības nav svarīgākas par e-veikala interesēm, kā arī, ja pircējs personas datu vākšanas laikā un saistībā ar to var pamatoti sagaidīt, ka var notikt minētajā nolūkā paredzētā apstrāde. Līdz ar to e-veikalam katru reizi, pamatojot pircēju datu apstrādi ar savām leģitīmajām interesēm, ir jāveic līdzsvara pārbaude, lai līdzsvarotu savas un pircēju tiesības un brīvības.

Tāpēc, saņemot pircēju iebildumus viņu datu apstrādei citos šajā sadaļā minētajos gadījumos, e-veikalam būtu jāpierāda, ka viņa pārliecinošās leģitīmās intereses ir svarīgākas par pircēju pamattiesībām un brīvībām.

Tiesības uz datu pārnesamību

Datu subjektiem ir tiesības uz datu pārnesamību tikai situācijās, kad pārzinis veic datu apstrādi ar automatizētiem līdzekļiem (i) uz datu subjekta piekrišanas pamata, vai (ii) datu apstrāde ir vajadzīga līguma izpildei; un tikai tad, ja datu pārnešana no viena pārziņa pie otrā ir tehniski iespējama.

Neskatoties uz to, ka regula neuzliek pārziņiem pienākumu izstrādāt konkrētu datu glabāšanas formātu, saskaņā ar regulas 20.pantu, datu subjektam ir tiesības saņemt personas datus attiecībā uz sevi strukturētā, plaši izmantotā un mašīnlasāmā formātā.

Atbildot uz datu pārnešanas pieprasījumu, pārzinis darbojas saskaņā ar datu subjekta instrukcijām un nav atbildīgs par datu saņēmēja atbilstību datu aizsardzības likumu prasībām.

Tiesības, kas attiecas uz automatizētu individuālu lēmumu pieņemšanu un profilēšanu

Automatizēta lēmumu pieņemšana ir process, kura ietvaros tiek pieņemts lēmums bez cilvēka iejaukšanās tajā un kura rezultāts rada juridiskas sekas attiecībā uz datu subjektu vai ievērojami ietekmē datu subjektu – piemēram, tiešsaistē iesniegta kredītpieteikuma automātisks noraidījums. Šāda apstrāde ietver “profilēšanu”, kas izpaužas kā jebkura veida automatizēta personas datu apstrāde, kurā izvērtē ar fizisku personu saistītus personiskus aspektus, jo īpaši, lai analizētu vai prognozētu aspektus saistībā ar datu subjekta sniegumu darbā, ekonomisko situāciju, veselību, interesēm, uzvedību, atrašanās vietu vai pārvietošanos, ja šādai apstrādei ir juridiskas sekas attiecībā uz fizisko personu vai viņu ievērojami ietekmē.[1]

Regula nosaka, ka datu subjektiem ir tiesības nebūt tādu lēmumu subjektiem, taču atļauj automatizētu individuālu lēmumu pieņemšanu un profilēšanu, ja to atļauj citi Eiropas Savienības vai dalībvalsts tiesību akti, vai tas ir nepieciešams, lai noslēgtu vai izpildītu līgumu starp datu subjektu un datu pārzini, vai datu subjekts ir devis tam savu piekrišanu.

Autors: Marina Briškena, eGDPR


GDPR ietekme uz privātumu tiešsaistē

11. dec. 2020, Nav komentāru

Pasaules Ekonomikas forums vērtē pasaules datu ekonomiku 3 triljoniem USD. 

Šīs nozares izaugsmi ir saasinājusi pieaugošā tādu personas datu, kā piemēram, personas interešu, atrašanās vietas, ienākumu, attiecību statusa, dzimuma, vecuma, izglītības utt., nekontrolēta vākšana, savstarpēja sasaiste un tālākpārdošana. Tāpēc konflikti starp datu vērtību un personas privātumu turpinās pieaugt.

Reklāmas tehnoloģiju uzņēmumi (Ad Tech) cenšas izvietot izsekotājus pēc iespējas vairākās vietnēs, lai optimizētu datu vākšanu. Parasti izsekošanas uzņēmumi veic arī sīkfailu (cookies) sinhronizāciju, kas ļauj  apmainīt savu unikālo identifikatoru ar citiem Ad Tech uzņēmumiem, lai viņu rīcība esošus datus par lietotājiem, varētu apvienot un savstarpēji saistīt. Nav nepieciešamas īpašas zināšanas, lai saprastu, kādas sekas var izraisīt tādas vērtīgas informācijas apvienošana, kā lietotāja atrašanās vieta un viņa īstais vārds.

Nedaudz statistikas

Vispārīgā datu aizsardzības regula (GDPR) izraisīja nepieciešamību veikt izmaiņas daudzās vietnēs attiecībā uz privātuma politiku un sīkfailu (cookies) izmantošanas piekrišanu. Prasību ieviešanas pienākuma rezultāts visās ES dalībvalstīs un arī Baltijas valstīs bija atšķirīgs - saskaņā ar Horst Görtz Institute for IT Security and the Institute for Applied Work Science pētījumu*, kas analizēja 500 visbiežāk apmeklēto vietņu privātuma politikas katrā ES dalībvalstī no 2018.gada janvāra līdz jūnijam, aptuveni 74% analizēto vietņu attiecīgā privātuma politika netika mainīta līdz pat GDPR spēkā stāšanos dienai.

Saskaņā ar pētījumu, 2018.gada janvārī privātuma politika tika ieviesta tikai 59,6% no 500 apmeklētākajām vietnēm Latvijā, kas, stājoties spēkā GDPR, palielinājās par 8,8%, radot vislielāko uzņēmumu atsaucību uz jauno regulējumu no visām ES valstīm. Salīdzinājumam - pirms 2018.gada 25.maija Vācijā ieviesto privātuma politiku skaits bija 83,2%, Polijā 85,6% un Lietuvā 66%.

Cookie problēma

Viens no ievērības cienīgākajiem rezultātiem ir tādu sīkfailu paziņojumu izvietošana, kas informē lietotājus par sīkdatņu izmantošanu. Pēc GDPR stāšanās spēkā, aptuveni 62% analizēto vietņu sniedza paziņojumus par sīkdatnēm, kas ir par 16% vairāk nekā 2018.gada janvārī. Tā rezultātā sīkfailu paziņojumi kļuva par vienu no datu aizsardzības elementiem, kas ir pieaudzis saistībā ar GDPR spēkā stāšanos. Tomēr sīkfailu paziņojumi lielākoties neatbilst prasībām, jo tie nepiedāvā lietotājiem nepieciešamās iespējas atteikties no sīkdatņu lietošanas un neinformē par visām personām, kuras vāc sīkfailu informāciju vai kuriem šī informācija tiks nodota. Tādējādi ir skaidrs, ka sīkfailu piekrišanas paziņojumi atrodas problemātiskajā vietā un, lai tā nav, ir nepieciešamas skaidras vadlīnijas.

29.panta darba grupa (WP29, kuru aizstāj Eiropas Datu aizsardzības padome) uzskatīja, ka plašsaziņas līdzekļi, e-komercija un publiskais sektors rada vislielākos datu aizsardzības un privātuma riskus ES pilsoņiem. Saskaņā ar WP29 veikto minēto nozaru pārbaudi, šādu vietņu iestatīto pirmās un trešās puses sīkfailu (piemēram, Facebook vai Google AdWords) attiecība ir  29,60% pret 70,39% attiecīgi. Tomēr joprojām pastāv daudz vietņu, kas nesniedz pietiekamu informāciju par to, ka vietnē ir iestatīti trešo pušu sīkfaili, kā arī tam netiek prasīta lietotāja piekrišana vai nav nodrošināta akvalitatīva un pietiekama informācija par to. Diemžēl, 70 no 100 gadījumos mēs nezinām, kurš izseko mūsu aktivitāti tīmekļa vietnē, proti - kam šie dati tiek nodoti vai pārdoti. Papildus, veiktā pārbaude identificēja tīmekļa vietnes, kurās tika iestatīti vairāk nekā 200 (!!) trešo pušu sīkfaili un daži sīkfaili, kuru lietošanas ilgums ir gandrīz 8000 gadi (laikam, "elegants" IT humors).

Viena no populārākajām identificētajām kļūdām - tīmekļa vietnes bieži vien sāk izsekošanu pirms tiek saņemta lietotāja piekrišana sīkfailu lietošanai, kā arī dažos gadījumos sīkfailu baneris pat neparādas pirmajā lapā. Otra populārā kļūda ir netieša vai piespiedu piekrišana.

Problemātiskais pikselis

Cita nopietna problēma, kurai ir jāpievērš uzmanība, ir trešo pušu sīkfailu, piemēram, Google AdWords vai Facebook, pikseļi, kas palīdz ievietot sīkfailus tīmekļa lapā. Kad persona atsauc sniegto piekrišanu, Ad Tech pārtrauc targetētu mārketingu, taču nebeidz vākt personas datus un turpina ar pikseli saistīto personas datu apstrādi. Vienreiz ievietotos pikseļus gandrīz nav iespējams izdzēst vai bloķēt, kad tas ir nepieciešams.

Neskatoties uz daudzām neskaidrībām, GDPR ieminas par sīkfailiem  tikai vienreiz 30.apsvērumā, kurā galvenokārt teikts, ka, ja sīkfailu kopā ar unikāliem identifikatoriem un citu servera saņemtu informāciju var izmantot, lai izveidotu fizisku personu profilus un tos identificēt, tas ir jāatzīst par personas datiem. Eiropas Komisija ir mēģinājusi precizēt un publicēt izsmeļošu sīkfailu veidu sarakstu, uz kuriem neattiecas pienākums saņemt lietotāja piekrišanu, kurš kopā ar vadlīnijām ir pieejams Eiropas Komisijas mājaslapā.

Padomi sīkfailu iestatīšanai: 

1. Sīkfailu banerim jābūt parādītam visās vietnes lapās, lai izvairītos no situācijas, kad lietotājs pāriet uz kādu vietnes sadaļu, neizdarot savu izvēli attiecībā uz sīkfailiem un tāda iespēja pazūd no lapas. 

2. Ir jābūt pieejamai saitei uz sīkfailu lietošanas politiku.

3. Pārliecinities, ka jūsu vietne neievāc sīkfailus pirms lietotājs tam ir piekritis.

4. Pārliecinieties, ka jūsu vietne pārtrauca sīkfailu ievākšanu, kad lietotājs iebilda turpmākai datu apstrādei. 

5. Noteiciet sīkfailu ievākšanas un datu apstrādes termiņu, ņemot vērā principu, ka datus nedrīkst apstrādāt ilgāk nekā tas ir nepieciešams nolūkos, kuros dati tika ievākti. 

6. Pārliecinities, ka sīkfailu iegūto personas datu noteikumi ir pārredzami - tie informē par visiem trešo personu sīkfailiem. 


*Analysis on how the necessary changes have been implemented by enterprises on their websites.

Autors: Marina Briškena, eGDPR

Personas datu nosūtīšana uz trešajām valstīm

9. febr. 2020, Nav komentāru
Personas datus, kas tiek apstrādāti vai kurus ir paredzēts apstrādāt pēc nosūtīšanas uz trešo valsti vai starptautisku organizāciju, nosūta tikai tad, ja, ņemot vērā citus Vispārīgās datu aizsardzības regulas noteikumus, pārzinis un apstrādātājs ir ievērojuši tajā paredzētos nosacījumus.

Pirmkārt, ir jāpārbauda, vai Eiropas Komisija ir nolēmusi, ka trešā valsts, uz kuru tiek plānots sūtīt personas datus, kāda minētās trešās valsts teritorija vai viens vai vairāki konkrēti sektori, vai attiecīgā starptautiskā organizācija nodrošina pietiekamu aizsardzības līmeni. Šādai nosūtīšanai nav nepieciešama nekāda īpaša atļauja. Šādu valsts sarakstu meklējiet šeit: https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_en

Ja šāds Eiropas Komisijas lēmums nav pieņemts, pārzinis vai apstrādātājs var nosūtīt personas datus uz trešo valsti vai uz starptautisku organizāciju tikai tad, ja pārzinis vai apstrādātājs ir sniedzis atbilstošas garantijas, un ar nosacījumu, ka datu subjektiem ir pieejamas īstenojamas datu subjekta tiesības un efektīvi tiesiskās aizsardzības līdzekļi.  

Atbilstošās garantijas, uzraudzības iestādei neprasot īpašu atļauju, var tikt nodrošinātas ar: 

a) starp publiskām iestādēm juridiski saistošu instrumentu; 

b) saistošiem uzņēmuma noteikumiem;

c) standarta datu aizsardzības klauzulām, ko pieņem Eiropas Komisija; 

d) standarta datu aizsardzības klauzulām, ko pieņem uzraudzības iestāde un apstiprina Eiropas Komisija; 

e) rīcības kodeksu;

f) apstiprinātu sertifikācijas mehānismu.

Ja nav pieņemts lēmums par aizsardzības līmeņa pietiekamību vai nav nodrošinātas atbilstošas garantijas, personas datu nosūtīšanu vai vairākkārtēja nosūtīšanu uz trešo valsti vai starptautisku organizāciju drīkst veikt tikai tad, ja izpildīts viens no turpmāk minētajiem nosacījumiem: 

a) datu subjekts ir skaidri piekritis ierosinātajai nosūtīšanai pēc tam, kad ir ticis informēts par iespējamiem riskiem, ko šāda nosūtīšana var radīt datu subjektam lēmuma par aizsardzības līmeņa pietiekamību un atbilstošu garantiju trūkuma dēļ; 

b) nosūtīšana ir vajadzīga, lai izpildītu līgumu starp datu subjektu un pārzini vai īstenotu pasākumus pirms līguma noslēgšanas, kas pieņemti pēc datu subjekta pieprasījuma; 

c) nosūtīšana ir vajadzīga līguma noslēgšanai starp pārzini un citu fizisku vai juridisku personu datu subjekta interesēs vai šāda līguma izpildei; 

d) nosūtīšana ir nepieciešama, ja ir svarīgi iemesli sabiedrības interesēs; 

e) nosūtīšana ir vajadzīga, lai celtu, īstenotu vai aizstāvētu likumīgas prasības; 

f) nosūtīšana ir vajadzīga, lai aizsargātu datu subjekta vai citu personu īpaši svarīgas intereses, ja datu subjekts ir fiziski vai tiesiski nespējīgs dot savu piekrišanu; 

g) nosūtīšanu izdara no reģistra, kurš saskaņā ar Savienības vai dalībvalsts tiesību aktiem ir paredzēts, lai sniegtu informāciju sabiedrībai, un kuru var izmantot vai nu plaša sabiedrība, vai jebkura persona, kas var pierādīt savas leģitīmās intereses, taču vienīgi tiktāl, ciktāl konkrētajā gadījumā tiek pildīti Savienības vai dalībvalsts tiesību aktos paredzētie izmantošanas nosacījumi. 

Ja nosūtīšanu nevar balstīt uz minētiem noteikumiem un nav piemērojama neviena no atkāpēm īpašās situācijās, nosūtīšana uz trešo valsti vai starptautisku organizāciju var notikt tikai tad, ja:

  •  nosūtīšana neatkārtojas, un
  • attiecas vienīgi uz ierobežotu skaitu datu subjektu, un
  • ir vajadzīga pārziņa pārliecinošām leģitīmām interesēm, attiecībā uz kurām datu subjekta intereses vai tiesības un brīvības nav svarīgākas, un 
  • pārzinis ir novērtējis visus apstākļus saistībā ar datu nosūtīšanu un, pamatojoties uz minēto novērtējumu, ir sniedzis atbilstošas garantijas attiecībā uz personas datu aizsardzību.
Pārzinis par nosūtīšanu informē uzraudzības iestādi un datu subjektu. 

Pārzinis vai apstrādātājs personas datu reģistros dokumentē novērtējumu, kā arī atbilstošās garantijas. 



 

Jaunākie ieraksti

  • Vai AI sagatavots līgums ir drošs uzņēmumam?
    28. apr. 2026
  • Satura veidošanas līgums: svarīgākie punkti, ko uzņēmumi bieži aizmirst.
    2. apr. 2026
  • 7 iemesli kāpēc personas datu aizsardzības ieviešanu nedrīkst atlikt.
    14. jūn. 2021
  • Datu apstrādes reģistrs - kā to veidot un kāpēc?
    2. apr. 2021
  • Datu drošība e-komercijā
    5. marts 2021
  • GDPR ietekme uz privātumu tiešsaistē
    11. dec. 2020
  • Personas datu nosūtīšana uz trešajām valstīm
    9. febr. 2020

Arhīvs

  • 2026
    • Aprīlis
  • 2021
    • Jūnijs
    • Aprīlis
    • Marts
  • 2020
    • Decembris
    • Februāris

GDPR pakalpojumi

Piesaki datu aizsardzības speciālista pakalpojumu

Šeit

Pirkumu grozs

Pirkumu grozs ir tukšs.

  • Lietošanas noteikumi
  • Privātuma politika
  • ERAF finansējums
.